Info su blocco utenti.........

[stefanoxjx]

Ciao a tutti, siccome nei log del mio serverino ho file lunghissime di cose come queste:

Jun 26 13:51:55 server sshd[31672]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:55 server sshd[31674]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:56 server sshd[31676]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:57 server sshd[31678]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:58 server sshd[31680]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:59 server sshd[31682]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:52:00 server sshd[31684]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:52:00 server sshd[31686]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:01 server sshd[31688]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:02 server sshd[31690]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:03 server sshd[31692]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:04 server sshd[31694]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:05 server sshd[31696]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:05 server sshd[31698]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:06 server sshd[31700]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:07 server sshd[31702]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:08 server sshd[31704]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:09 server sshd[31706]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:09 server sshd[31708]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:10 server sshd[31710]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:11 server sshd[31712]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:12 server sshd[31714]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:13 server sshd[31716]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:13 server sshd[31718]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:14 server sshd[31720]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:15 server sshd[31722]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:16 server sshd[31724]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:17 server sshd[31726]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:18 server sshd[31728]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:18 server sshd[31730]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:19 server sshd[31732]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:20 server sshd[31734]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:21 server sshd[31736]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:22 server sshd[31738]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:22 server sshd[31740]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:23 server sshd[31742]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:24 server sshd[31744]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:25 server sshd[31746]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:26 server sshd[31748]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:26 server sshd[31750]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:27 server sshd[31752]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:28 server sshd[31754]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:29 server sshd[31756]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:30 server sshd[31758]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:31 server sshd[31760]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:32 server sshd[31762]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:32 server sshd[31764]: Illegal user andy from ::ffff:217.79.111.206
Jun 26 13:52:33 server sshd[31766]: Illegal user andy from ::ffff:217.79.111.206
Jun 26 13:52:34 server sshd[31768]: Illegal user andy from ::ffff:217.79.111.206
Jun 26 13:52:35 server sshd[31770]: Illegal user andy from ::ffff:217.79.111.206

volevo sapere se è possibile fare in modo che dopo un certo numero di tentativi falliti, si potesse bloccare (possibilmente per un determinato tempo) un ip specifico.
Grazie.
Ciao.

[WebWolf]

Se vuoi protestare, l'IP si rifesrisce a questo provider:

http://www.griffin.com/

Poi non so se sia possibile fare uno script che legga messages con un flag che conti lo stesso ip e si attivi. Dovresti escludere il tuo ip perchè dopo un po' che ti connetti bloccherebbe anche te.

Il problema è comunque la porta ssh aperta. Se non hai necessità di usare i servisi da remoto chiudila e bye bye a tutti.

Strano pero' che nessuno abbia tentato di entrare come root. Secondo me hanno sbagliato l'IP nel ssh.

Un attacco di forza di solito prova su root e dura anche mezz'ora.

Oppure da iptables seghi via quell'IP se vedi che ci provano ancora.

[stefanoxjx]

Quote:

Originariamente inviato da WebWolf

Se vuoi protestare, l'IP si rifesrisce a questo provider:

http://www.griffin.com/

Si, ho già controllato, però siccome ho moltissimi attacchi di questo tipo, dovrei perdere una giornata solo per mandare via i reclami ai vari providers

Quote:

Poi non so se sia possibile fare uno script che legga messages con un flag che conti lo stesso ip e si attivi. Dovresti escludere il tuo ip perchè dopo un po' che ti connetti bloccherebbe anche te.

Spero sia possibile

Quote:

Il problema è comunque la porta ssh aperta. Se non hai necessità di usare i servisi da remoto chiudila e bye bye a tutti.

No, ho bisogno di ssh, altrimenti avrei già chiuso la porta e il servizio.

Quote:

Strano pero' che nessuno abbia tentato di entrare come root. Secondo me hanno sbagliato l'IP nel ssh.

Si, ci hanno provato, solo che l'accesso ad ssh come root è inibito e solo un determinato utente può accedere al servizio ssh.

Quote:

Un attacco di forza di solito prova su root e dura anche mezz'ora.

Quello che ho postato, è solo una piccolissima parte di quell'attacco.

Quote:

Oppure da iptables seghi via quell'IP se vedi che ci provano ancora.

Il problema è che ho moltissimi attacchi di questo tipo e quindi diventa impossibile fermare tutti gli ip pericolosi

[DeadLock]

Quote:

Originariamente inviato da stefanoxjx

Ciao a tutti, siccome nei log del mio serverino ho file lunghissime di cose come queste:

Jun 26 13:51:55 server sshd[31672]: Illegal user sarah from ::ffff:217.79.111.206
[...]

volevo sapere se è possibile fare in modo che dopo un certo numero di tentativi falliti, si potesse bloccare (possibilmente per un determinato tempo) un ip specifico.

ho cercato un pochino con google qlc modulo da usare con pam per far sta cosa ma non ho ancora trovano niente :|
cmq
come suggerito anche da webwolf potresti intanto (come soluzione tampone) adottare un oscript che ti recupera gli ip da /var/log/messages, poi magari li aggiungi ad una chain per il drop

per recuperare gli ip puoi usare un qlc del tipo:

Codice:

grep -E 'sshd\[[0-9]*\]:[ ]*Illegal user' /var/log/messages | sed 's/::ffff://' | awk '{print $NF}' | sort | uniq

magari controlla la reg exp

abbai

[stefanoxjx]

Quote:

Originariamente inviato da DeadLock

ho cercato un pochino con google qlc modulo da usare con pam per far sta cosa ma non ho ancora trovano niente :|
cmq
come suggerito anche da webwolf potresti intanto (come soluzione tampone) adottare un oscript che ti recupera gli ip da /var/log/messages, poi magari li aggiungi ad una chain per il drop

per recuperare gli ip puoi usare un qlc del tipo:

Codice:

grep -E 'sshd\[[0-9]*\]:[ ]*Illegal user' /var/log/messages | sed 's/::ffff://' | awk '{print $NF}' | sort | uniq

magari controlla la reg exp

abbai

Provo a vedere se riesco a combinare qualcosa.
Grazie della dritta.